@monthly /root/.cfg/./dealer病毒清除

已于 2023-06-25 10:20:16 修改
阅读量1.9k 收藏 7
点赞数 4
文章标签: 服务器 运维
于 2023-06-25 10:16:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stars_moon1024/article/details/131371611
版权

登录服务器时,ssh提示密码不对,就去控制台检查,查看到虚拟平台中多台服务器提示虚拟机CPU使用告警,占用过高。远程无法登录。

原因分析:所有中毒的均为linux服务器,密码设置过于简单,防火墙关闭的。

 解决:

通过控制台进入服务器,有些服务器是之前进入了服务器的,可以进行操作,有些没有,则需要重启进入单用户模式重置密码,进入服务器。

1、检查crontab任务

 这里定时任务就出现了端倪,名称叫做dealer,查询资料得知这是病毒。删除该指向的文件。

contab -e删除这条定时任务

2、删除定时任务的执行文件

可以看看这个文件时什么内容。并删除rm -rf /root/.cfg/

3、查看系统服务

进入cd /lib/systemd/system

ll -rt命令以从旧到新排序,可以看到一个myservice服务,这个不是系统的服务文件。

 查看这个文件内容,服务指向了/usr/bin下

 查看后,这是异常文件,进行删除操作

4、清除病毒服务

systemctl status myservice.service这里病毒还在运行中

systemctl stop myservice.service停止病毒服务

systemctl disable myservice.service去掉病毒自启动

rm -rf /usr/bin/player删除启动文件

rm -rf myservice.service删除启动服务

完成病毒清理,服务器正常。

打开防火墙,修改系统为强密码。

气拔星
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
data analysis.rar_数值算法/人工智能_matlab_
08-09
根据命名推测,这两个可能是MATLAB脚本,分别用于计算季度平均(quarterly average)和月平均(monthly average)。在MATLAB中,可以使用`groupsummary`或者自定义循环来实现这些功能。例如,对于月平均,我们可能先...
【安全】查杀linux隐藏挖矿病毒rcu_tasked
飞的博客
10-25 2671
这是黑客使用的批量蔓延病毒的工具,通过如下脚本实现。
记一次 Debian 被黑,清理记录,唉
边学边用
01-10 3868
清理被黑的 Debian Linux 中的非法文件
linux进程后台运行
weixin_42282031的博客
08-12 223
重定向 讲后台运行之前,先说一下重定向; 文件描述符 当执行shell命令时,会默认打开3个文件,每个文件有对应的文件描述符来方便我们使用: 类型 文件描述符 默认情况 对应文件句柄位置 标准输入(standard input) 0 从键盘获得输入 /proc/slef/fd/0 标准输出(standard output) 1 输出到屏幕(即控制台) /proc/slef/fd/1 错误输出(error output) 2 输出到屏幕(即控制台) /proc/slef/fd/2
linux环境下运行脚本时常用>/dev/null 2>&1 &这一串的作用
AlbertS Home of Technology
08-01 4342
>/dev/null 2>&1 & 的作用是将某个程序在后台运行,并将其标准输出和标准错误输出都丢弃,不在终端中显示或记录。这样做常常用于运行不需要显示输出的程序或脚本,并且让它在后台运行,不占用终端的输入输出...
一次Linux服务器被入侵和删除木马程序的经历
qq_30665009的博客
05-19 2619
一、背景 上午看到有台服务器流量跑的很高,明显和平常不一样,流量达到了500Mbps,第一感觉应该是中木马了,被人当做肉鸡了,在大量发包。 我们的服务器为了最好性能,防火墙(iptables)什么的都没有开启,但是服务器前面有物理防火墙,而且机器都是做的端口映射,也不是常见的端口,按理来说应该是满安全的,可能最近和***有缘吧,老是让我遇到,也趁这次机会把发现过程记录一下。二、发现...
getchu_com_scraping_tools:www.getchu.com 抓取工具
06-21
# Getchu.com 抓取工具命令实用程序get_monthly_title_list.rb从 Eroge 的每月发布页面中提取标题物品描述论点 1 HTML 文件名或 URL bundle exec ruby get_monthly_title_list.rb '....rb sample_page/2015_01.html开发...
leetcode卡-Leetcode-May-Monthly-Challenge-2020:https://leetcode.com/expl
07-06
在这个"Leetcode-May-Monthly-Challenge-2020-master"压缩包中,你可以找到所有五月挑战的题目源代码,这些代码可能是Python、Java、C++或其他编程语言实现的解决方案。通过研究这些代码,你可以学习不同的解题策略...
R语言数据分析案例&代码.pdf
最新发布
02-21
monthly_sales (Sales ~ Month, data = sales_data_monthly, sum) # 绘制折线图来展示每月销售额的变化趋势 plot(monthly_sales$Month, monthly_sales$Sales, type = "l", main = "Monthly Sales Trend", xlab =...
directory.csv Employee_monthly_salary.csv titanic_train.csv
03-02
在这个场景中,我们有三个CSV文件,它们分别是"directory.csv"、"Employee_monthly_salary.csv"和"titanic_train.csv"。这些文件通常用于数据探索、统计分析以及机器学习模型的构建。 首先,"directory.csv"可能是...
SQL executing schedule monthly/weekly in DB Query Analyzer 7.01
11-12
DB Query Analyzer 7.01 allows usersto define monthly or weekly SQL executing plans. Here I will show you how the powerful function works.
Time_Bar_Custom_Monthly - MetaTrader 5脚本.zip
09-12
简要描述
清华aosp-20200401.tar百度网盘下载
04-30
镜像来自:https://mirrors.tuna.tsinghua.edu.cn/aosp-monthly/aosp-20200401.tar,由于官方下载不稳定,本人上传至网盘分享出来。 链接:https://pan.baidu.com/s/11Ij69hZpzJ6MWhgwotJh4g 密码请下载aosp.txt...
EOJ Monthly 2020.3 D. 钢琴演奏家
01-20
题目“EOJ Monthly 2020.3 D. 钢琴演奏家”是一个关于组合数学和数论的问题,主要涉及到了排列组合、高斯消元以及快速幂运算等算法。下面将详细阐述这些知识点。 1. **排列与组合**: 题目描述中提到“先排序确定...
MODIS 2021年中国1km植被指数(EVI)空间分布数据集
03-26
MOD13A3的空间分辨率为1km,时间分辨率为monthly。经过提取子数据集、拼接、投影栅格、换算单位、裁剪得到逐月1km的EVI数据后,再利用最大合成法得到对应年份的EVI数据。 地区:中国 时间分辨率:年 空间分辨率:1km...
记一次服务器挂马处理
gaojingsong的专栏
06-01 942
事件发现原因:想使用某个服务,发现服务挂掉了,然后通过其他方式登录到Linux主机,启动服务发现服务启动不了,随后查看crontab列表发现蹊跷,然后逐步处理定时任务列表@daily /var/tmp/.../.logs/1 @reboot /var/tmp/.../.logs/run > /dev/null 2>&1 & disown @reboot /var/tmp/.../.logs/run > /dev/null 2>&1 & disown @monthly /var/tmp/.../.logs/r
Linux中“>/dev/null 2>&1 &“
一杯咖啡的渗透记忆
05-08 1015
上述例子中的shell命令的意思就是在后台执行这个程序,并将错误输出2重定向到标准输出1,然后将标准输出1全部放到/dev/null文件,也就是清空.(shell命令:command >/dev/null 2>&1 & 等同于 command 1>/dev/null 2>&1 &)2>&1:表示标准错误输出重定向等同于标准输出,因为之前标准输出已经重定向到了空设备文件,所以标准错误输出也重定向到空设备文件。5)&1:&表示等同于的意思,2>&1,表示2的输出重定向等同于1的重定向。
centos服务器病毒dealer sshc tutu
weixin_42502379的博客
09-12 726
dealer sshc tutu centos 服务器病毒处理过程
Linux kswapd0进程CPU占用过高,病毒清理
zhangjunli的博客
08-21 8695
<div id="bgchange" style="width: 660px;"> <div class="fontsize_bgcolor_controler"> <div class="a_bgcolor"> <img src="http://pubimage.360doc.com/NewArticle/bgcolor.jpg"> <div class="a_colorlist"> <span class="a_color1" oncli
centos配置审计规则 /etc/audit/rules.d/audit.rules 示例
03-25
以下是一个示例配置审计规则的 /etc/audit/rules.d/audit.rules 文件,你可以在此基础上进行修改: # This file contains the auditctl rules that are loaded # whenever the audit daemon is started via the initscripts. # The rules are simply the parameters that would be passed # to auditctl. # First rule - delete all -D # Increase the buffers to survive stress events. # Make this bigger for busy systems -b 8192 # Set failure mode to syslog -f 1 # Audit mount and umount syscall events -a exit,always -F arch=b64 -S mount -F auid>=1000 -F auid!=unset -k mount -a exit,always -F arch=b32 -S mount -F auid>=1000 -F auid!=unset -k mount -a exit,always -F arch=b64 -S umount2 -F auid>=1000 -F auid!=unset -k umount # Audit LXC events -w /var/lib/lxc/ -p rwa -k lxc # Audit cron jobs -w /etc/cron.hourly/ -p rwa -k cron.hourly -w /etc/cron.daily/ -p rwa -k cron.daily -w /etc/cron.weekly/ -p rwa -k cron.weekly -w /etc/cron.monthly/ -p rwa -k cron.monthly # Audit user and group modifications -w /etc/group -p wa -k usergroup -w /etc/passwd -p wa -k usergroup -w /etc/gshadow -p wa -k usergroup -w /etc/shadow -p wa -k usergroup # Audit package and yum operations -w /etc/yum/ -p rwa -k yum -w /usr/bin/rpm -a exit,always -F arch=b64 -S open -F perm=x -F auid>=1000 -F auid!=unset -k rpm # Audit system calls -a exit,always -F arch=b32 -S uname -k systemcalls -a exit,always -F arch=b64 -S uname -k systemcalls -a exit,always -F arch=b32 -S sethostname -k systemcalls -a exit,always -F arch=b64 -S sethostname -k systemcalls -a exit,always -F arch=b32 -S setdomainname -k systemcalls -a exit,always -F arch=b64 -S setdomainname -k systemcalls # Audit system logins -w /var/log/lastlog -p wa -k logins -w /var/log/wtmp -p wa -k logins # Audit selinux changes -w /etc/selinux/ -p rwa -k selinux # Audit firewall changes -w /etc/firewalld/ -p rwa -k firewalld # Audit sudo operations -w /var/log/sudo.log -p wa -k sudo # Audit SSH sessions -w /var/log/secure -p wa -k ssh # Audit network socket operations -a exit,always -F arch=b32 -S socketcall -k netsockets -a exit,always -F arch=b64 -S socketcall -k netsockets -a exit,always -F arch=b32 -S sendto -k netsockets -a exit,always -F arch=b64 -S sendto -k netsockets -a exit,always -F arch=b32 -S recvfrom -k netsockets -a exit,always -F arch=b64 -S recvfrom -k netsockets
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值